PaySafeGen
PaySafeGen is a ransomware trojan that runs on Microsoft Windows. It is aimed at English-speaking users. Name PaySafeGen receives its name because this encryption ransomware Trojan demands that victims pay their ransom using PaySafeCard. Payload Transmission PaySafeGen is delivered using corrupted spam email attachments that disguise an executable file through the use of double extensions. Infection When the victim opens the compromised file attachment, which delivers an executable file named 'Cry.exe,' PaySafeGen is installed on the victim's computer. PaySafeGen will scan the victim's files, searching all local drives and shared drives for certain file types. PaySafeGen targets file types corresponding to media files, documents and databases. PaySafeGen uses an AES-256 encryption algorithm to encrypt these files, appending the extension '.cry' to the end of each of the encrypted files. PaySafeGen uses a ransom note in German, making it apparent through the use of this language and its peculiar payment method, that PaySafeGen targets computer users in Europe, in German-speaking countries. PaySafeGen's ransom note, which is displayed as a full-screen message, contains the following text: !WARNUNG! ALLE wichtigen Dateien und/oder Programme auf ihrem Computer wurden mit AES-256 verschlüsselt. Das bedeutet Sie können ihre Dateien und Programme erst wieder verwenden wenn Sie sich einen 128-Stelligen Entschlüsslungscode für 100€ kaufen. Nachdem sich dieses Fenster geschlossen hat, finden Sie auf ihrem Desktop eine Datei mit dem Namen „Kaufen" oder „Kaufen.exe". Geben Sie dort einen gültigen 100€-Paysafecardcode und ihre Email ein. Paysafecardcodes finden Sie in fast jeder Tankstelle und/oder Supermärkten. Nach der Verifizierung des Codes durch uns bekommen Sie per Email den Entschlüsslungscode zusammen mit weiteren Instruktionen, um ihre Dateien zu entschlüsseln. FALLS INNERHALB DER NÄCHSTEN 72 STUNDEN KEINE ZAHLUNG ERFOLGT WERDEN ALLE DATEN GELÖSCHT. Drücken Sie jetzt ENTER um auf Ihren Desktop zurückzukehren.' Which, when translated into English, reads as follows: !WARNING! ALL important files and / or programs on your computer have been encrypted with AES-256. This means you can not use your files and programs until you buy a 128-digit decryption code for $ 100. After this window closes, you will find a file named "Buy" or "Buy.exe" on your desktop . Enter a valid € 100 paysafecard code and your email there. Paysafecardcodes can be found in almost every gas station and / or supermarkets. After the code has been verified by us, you will receive the decryption code by email along with other instructions to decrypt your files. IF NO PAYMENT IS DONE WITHIN THE NEXT 72 HOURS, ALL DATA WILL BE DELETED. Now press ENTER to return to your desktop. ' After closing this message, computer users will find a file named 'Kaufen.exe,' which is German for 'Purchase.' This file displays the following pop-up message: 100EUR paysafecardcode: box Email: textbox Falls der Server fuer laengere Zeit nicht erreichbar sein sollte. koennen Sie eine Email an cry_16@hmamail.com senden in der der PSC-Code zusammen mit der HWID steht. Senden Sie haben ihren Code bereits per Email erhalten, Klicken Sie hier um ihre Daten zu entschluesseln Which translated into English reads as follows: 100EUR paysafecardcode: box Email: textbox If the server is not available for a long time. You can send an email to cry_16@hmamail.com in which the PSC code together with the HWID. Send You have already received your code by email, Click here to decrypt your data Category:Ransomware Category:Win32 ransomware Category:Win32 trojan Category:Trojan Category:Microsoft Windows Category:Win32